Henkilötiedot ja tietosuoja kotipalveluyrityksissä Valtakunnalliset kotityöpalvelupäivät 18.1.2013 Otto Markkanen, lakimies Asianajotoimisto Castrén & Snellman 1
TIETOSUOJA? YKSITYISYYS JA HENKILÖTIEDOT OIKEUS MÄÄRÄTÄ OMISTA TIEDOISTA LUOTTAMUS! 2
INFORMOINTI TIETOTURVA OIKEUS TULLA UNOHDETUKSI 3
Keskeinen lainsäädäntö Henkilötietolaki (523/1999) Laki yksityisyyden suojasta työelämässä (759/2004) Sähköisen viestinnän tietosuojalaki (516/2004) Lisäksi säännöksiä yli 650 erityislaissa! 4
Keskeiset käsitteet Mikä on henkilötieto? Kaikenlaiset tiedot, joista luonnollinen henkilö voidaan suoraan tai epäsuorasti tunnistaa Kuka on rekisterinpitäjä? Yksi tai useampi henkilö, yhteisö, laitos tai säätiö, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä 5
Yleiset periaatteet Käsittelyperuste: edellytys henkilötietojen keräämiselle ja käsittelylle Suostumus Sopimuksen toteuttaminen Asiakkaan toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa asiakas on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi asiakkaan pyynnöstä Yhteysvaatimus Asiakkaalla on asiakassuhteen/-sopimuksen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan 6
Yleiset periaatteet Huolellisuusvelvoite Henkilötietoja tulee käsitellä laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa rajoiteta ilman laissa säädettyä perustetta Tietosuoja on muistettava kaikissa tietojenkäsittelyn vaiheissa! Käsittelyn suunnittelu Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyprosessit tulee suunnitella ennen henkilötietojen keräämisen aloittamista Mieti ja harkitse, ennen kuin toteutat! 7
Yleiset periaatteet Käyttötarkoitussidonnaisuus Henkilötietoja ei saa käyttää ristiriidassa ennalta suunniteltujen käyttötarkoitusten kanssa Tarpeellisuusvaatimus Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia Virheettömyysvaatimus Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä 8
Yleiset periaatteet Informointivelvollisuus Kuka on rekisterinpitäjä Mihin tarkoituksen henkilötietoja kerätään ja käsitellään Mihin tietoja luovutetaan Tietojen suojaaminen ja tietoturva Ilmoitusvelvollisuus tietosuojavaltuutetulle (mm.) Ulkoistaminen Markkinointikampanjat 9
Yleiset periaatteet Rekisteröidyn oikeudet Oikeus tarkastaa, mitä tietoja on tallennettu Kielto-oikeus (mm. markkinointi) Oikeus saada virheellinen, puutteellinen, vanhentunut tai tarpeeton tiet tieto korjatuksi/poistetuksi 10
Yleiset periaatteet Vaitiolovelvollisuus Henkilötietojen käsittelyn yhteydessä saadut henkilön ominaisuuksista, henkilökohtaisista oloja tai taloudellista asemaa kuvaavat ovat luottamuksellisia ei saa ilmaista sivullisille! Henkilötietojen hävittäminen Tieto, joka ei enää ole tarpeellinen, on hävitettävä, ellei säännöksistä muuta johdu 11
Rekisteriseloste Rekisterinpitäjän nimi ja yhteystiedot Henkilötietojen käsittelyn tarkoitus Kuvaus tietotyypeistä Mihin tietoja säännönmukaisesti luovutetaan? Siirretäänkö tietoja EU/ETA:n ulkopuolelle? Kuvaus rekisterin suojauksen periaatteista Rekisterinpitäjän on pidettävä rekisteriseloste jokaisen saatavilla 12
Markkinointi 13
Asiakastietojen käyttäminen markkinoinnissa Asiakastietoja voidaan käyttää markkinointiin, ellei asiakas ole sitä nimenomaisesti kieltänyt Edellyttää, että henkilöä on informoitu asianmukaisesti (informointivelvollisuus) Rekisterinpitäjä voi ostaa/vastaanottaa/liittää omiin markkinointirekistereihin tietoja ulkopuolisista lähteistä Huom! Ilmoitusvelvollisuus TSV:lle 14
Asiakastietojen käyttäminen markkinoinnissa Suostumus vai kielto-oikeus? Yksityishenkilölle saa kohdistaa puhelinsoiton tai kirjeen avulla toteutettua suoramarkkinointia, jos hän ei ole sitä kieltänyt ( opt-out ) Sähköistä suoramarkkinointia saa kohdistaa vain sellaisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa ( opt-in ) Sähköposti, tekstiviesti, multimedia viesti, jne 15
Markkinointiin liittyvät viranomaisvelvoitteet Asiakasrekisteri -> ei ilmoitusvelvollisuutta Kampanjarekisteri -> ilmoitusvelvollisuus TSV:lle Rajoitettu tietosisältö: nimi, äidinkieli, ikä, arvo/ammatti, sukupuoli, yhteystiedot sekä yksi rekisteröityyn liitettävä tunnistetieto Pysyvä suoramarkkinointirekisteri - > ilmoitusvelvollisuus TSV:lle Rajoitettu tietosisältö: nimi, äidinkieli, ikä, arvo/ammatti, sukupuoli, yhteystiedot sekä yksi rekisteröityyn liitettävä tunnistetieto 16
Työntekijöitä koskevat tiedot 17
Työntekijöitä koskevat tiedot Tietojen kerääminen Tiedot kerättävä lähtökohtaisesti työntekijältä itseltään tai tämän suostumuksella muualta Tarpeellisuusvaatimus Tiedon tarpeellisuus vaihtelee työtehtävien mukaan Sekä rekrytointivaihe että työsuhteen aikana Ei saa kerätä ennakolta ajankohtainen ja perusteltu syy! Arkaluonteiset tiedot Tekninen valvonta Informointi ja YT-menettelyt 18
Viranomaiset ja valvonta 19
Viranomaiset ja valvonta Tietosuojavaltuutettu Henkilötietojen käsittelyä valvova yleisviranomainen Oikeus tehdä tarkastuksia ja tarkastuskäyntejä rekisterinpitäjän toimintaan ja toimitiloihin Ohjeistaa, valta antaa velvoittavia päätöksiä tietyissä asioissa (rekisteröidyn tarkastusoikeus, tiedon korjaaminen, tiedon poistaminen rekisteristä, jne.) Tietosuojalautakunta Mahdollista hakea erillistä lupaa henkilötietojen käsittelyyn esim. arkaluontoisten tietojen käsittelyyn Lupa annetaan määräajaksi tai toistaiseksi TSV:n hakemuksesta voi puuttua lainvastaiseen käsittelyyn ja asettaa uhkasakon muutoksenhakuviranomainen hallinto-oikeus 20
Muista ainakin nämä! Mieti mitä tietoja tarvitset ja miksi (käyttötarkoitussidonnaisuus, tarpeellisuusvaatimus) Varmista tietojen käsittelyn lainmukaisuus (käsittelyperuste) Varmista, että asiakkaasi tietävät, miten (ja mitä) heidän tietojaan käsittelet (informointi) Laadi rekisteriseloste Huolehdi tietojen asianmukaisesta suojaamisesta ja hävittämisestä (tietoturva) Huolehdi viranomaisvelvoitteista (erit. ilmoitusvelvollisuus) 21
Kiitos! Otto Markkanen otto.markkanen@castren.fi 22